Red Hat Summit33.5. 動的 DNS 更新の管理
33.5.1. ダイナミック DNS 更新の有効化
リンクのコピーリンクがクリップボードにコピーされました!
動的 DNS 更新は、IdM の新規 DNS ゾーンに対してデフォルトでは無効となっています。動的更新を無効にすると、
ipa-client-install スクリプトでは、新規クライアントを指定する DNS レコードを追加できません。
注記
動的更新を有効にすると、セキュリティーリスクが発生する可能性があります。ただし、使用環境で動的更新が可能である場合には、この更新方法を使用すると、クライアントのインストールが簡素化されます。
動的更新を有効にするには、以下が必要です。
- 動的更新を許可するように DNS ゾーンを設定する必要があります。
- ローカルクライアントは、動的更新を送信するように設定する必要があります。
33.5.1.1. 動的更新を許可するための DNS ゾーンの設定
リンクのコピーリンクがクリップボードにコピーされました!
Web UI での動的 DNS 更新の有効化
- Network Services タブを開き、DNS サブタブを選択し、その後に DNS Zones セクションを選択します。
図33.16 DNS ゾーンの管理
- ゾーンの全リストからゾーン名をクリックして DNS ゾーンページを開きます。
図33.17 マスターゾーンの編集
- Settings をクリックして DNS ゾーン設定タブに切り替えます。
図33.18 マスターゾーン編集ページの Settings タブ
- Dynamic update フィールドまでスクロールして、値を True に設定します。
図33.19 ダイナミック DNS 更新の有効化
- ページ上部の をクリックして、新しい設定を確認します。
コマンドラインでの動的 DNS 更新の有効化
コマンドラインから DNS ゾーンへの動的な更新を可能にするには、
--dynamic-update=TRUE オプションを指定して ipa dnszone-mod コマンドを使用します。以下に例を示します。
ipa dnszone-mod server.example.com --dynamic-update=TRUE
[user@server ~]$ ipa dnszone-mod server.example.com --dynamic-update=TRUE33.5.1.2. 動的更新を送信するためのクライアントの設定
リンクのコピーリンクがクリップボードにコピーされました!
クライアントは、
ipa-client-install スクリプトで --enable-dns-updates を使用して、ドメインに登録すると DNS 更新を送信するように自動的に設定されます。
ipa-client-install --enable-dns-updates
[root@client ~]# ipa-client-install --enable-dns-updates
DNS ゾーンの SOA 設定には、レコードに設定された TTL (Time to Live) 値があります。ただし、動的更新の TTL は、System Security Service Daemon (SSSD) によりローカルシステムで管理されます。動的更新の TTL 値を変更するには、SSSD ファイルを編集して値を設定します。デフォルトは 1200 秒です。
- SSSD 設定ファイルを開きます。
vim /etc/sssd/sssd.conf
[root@server ~]# vim /etc/sssd/sssd.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow - IdM ドメインのドメインセクションを検索します。
[domain/ipa.example.com]
[domain/ipa.example.com]Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 動的更新がクライアントで有効になっていない場合は、
dyndns_updateを true に設定します。dyndns_update = true
dyndns_update = trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow dyndns_ttlパラメーターを追加または変更して、値を秒単位で設定します。dyndns_ttl = 2400
dyndns_ttl = 2400Copy to Clipboard Copied! Toggle word wrap Toggle overflow
33.5.2. A/AAAA レコードと PTR レコードの同期
リンクのコピーリンクがクリップボードにコピーされました!
AAA レコードと AAA レコードは、逆引きゾーンで PTR レコードとは別に設定されます。これらのレコードは個別に設定されるため、対応する PTR レコードがない場合は A/AAAA レコードが存在し、その逆も可能です。
PTR 同期が機能するには、以下の DNS 設定が必要になります。
- 正引きおよび逆引きゾーンの両方が IdM サーバーで管理されていること。
- 両方のゾーンで動的更新が有効になっていること。動的更新の有効化については、「ダイナミック DNS 更新の有効化」で説明されています。
- マスターの正引きゾーンおよび逆引きゾーンでは、PTR 同期を有効にする必要があります。
- PTR レコードは、要求しているクライアント名が PTR レコード内の名前と一致する場合にのみ、更新されます。
重要
IdM の Web UI やコマンドラインツールによる変更、または LDAP エントリーを直接編集して変更した場合、PTR レコードは更新されません。DNS サービス自体による変更の場合にのみ、PTR レコードは同期されます。
警告
クライアントシステムは、自身の IP アドレスを更新できます。つまり、危険にさらされたクライアントを使用して IP アドレスを変更すると、PTR レコードの上書きが可能になります。
33.5.2.1. Web UI での PTR レコードの同期設定
リンクのコピーリンクがクリップボードにコピーされました!
PTR レコードの同期は、PTR レコードが存在する逆引き DNS ゾーンではなく、A レコードまたは AAAA レコードが保存されているゾーンで設定する必要があります。
- Network Services タブを開き、DNS サブタブを選択し、その後に DNS Zones セクションを選択します。
図33.20 DNS ゾーンの管理
- ゾーンの全リストからゾーン名をクリックして DNS ゾーンページを開きます。
図33.21 DNS ゾーンの編集
- Settings をクリックして DNS ゾーン設定タブに切り替えます。
図33.22 マスターゾーン編集ページの Settings タブ
- Allow PTR sync チェックボックスを選択します。
図33.23 PTR 同期の有効化
- ページ上部の をクリックして、新しい設定を確認します。
33.5.2.2. コマンドラインを使用した PTR レコードの同期設定
リンクのコピーリンクがクリップボードにコピーされました!
コマンドラインを使用して、特定のゾーン、またはすべてのゾーンに対してグローバルに PTR レコードの同期を設定できます。
33.5.2.2.1. 特定のゾーンでの PTR レコードの同期設定
リンクのコピーリンクがクリップボードにコピーされました!
たとえば、
idm.example.com 正引きゾーンに PTR レコード同期を設定するには、次のコマンドを実行します。
- 正引きゾーンの動的更新を有効にします。
ipa dnszone-mod idm.example.com. --dynamic-update=TRUE
# ipa dnszone-mod idm.example.com. --dynamic-update=TRUECopy to Clipboard Copied! Toggle word wrap Toggle overflow - 正引きゾーンの更新ポリシーを設定します。
ipa dnszone-mod idm.example.com. --update-policy='grant IDM.EXAMPLE.COM krb5-self * A; grant IDM.EXAMPLE.COM krb5-self * AAAA; grant IDM.EXAMPLE.COM krb5-self * SSHFP;'
# ipa dnszone-mod idm.example.com. --update-policy='grant IDM.EXAMPLE.COM krb5-self * A; grant IDM.EXAMPLE.COM krb5-self * AAAA; grant IDM.EXAMPLE.COM krb5-self * SSHFP;'Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 正引きゾーンの PTR レコード同期を有効にします。
ipa dnszone-mod idm.example.com. --allow-sync-ptr=True
# ipa dnszone-mod idm.example.com. --allow-sync-ptr=TrueCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 逆引きゾーンの動的更新を有効にします。
ipa dnszone-mod 2.0.192.in-addr.arpa. --dynamic-update=TRUE
# ipa dnszone-mod 2.0.192.in-addr.arpa. --dynamic-update=TRUECopy to Clipboard Copied! Toggle word wrap Toggle overflow
33.5.2.2.2. すべてのゾーンでの PTR レコードの同期のグローバル設定
リンクのコピーリンクがクリップボードにコピーされました!
以下の手順のいずれかを使用して、IdM が管理するすべてのゾーンで PTR 同期を有効にできます。
- すべてのサーバーのゾーンで PTR 同期を同時に有効にするには、次のコマンドを実行します。
ipa dnsconfig-mod --allow-sync-ptr=true
# ipa dnsconfig-mod --allow-sync-ptr=trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow - サーバーごとの同期を有効にするには、次のコマンドを実行します。
/etc/named.conf内のdyndb "ipa" "/usr/lib64/bind/ldap.so"に、sync_ptr yes;設定を追加します。dyndb "ipa" "/usr/lib64/bind/ldap.so" { ... sync_ptr yes; };dyndb "ipa" "/usr/lib64/bind/ldap.so" { ... sync_ptr yes; };Copy to Clipboard Copied! Toggle word wrap Toggle overflow - IdM を再起動します。
ipactl restart
# ipactl restartCopy to Clipboard Copied! Toggle word wrap Toggle overflow - DNS サービスがインストールされている各 IdM サーバーでこの手順を繰り返します。
33.5.3. DNS 動的更新ポリシーの更新
リンクのコピーリンクがクリップボードにコピーされました!
IdM サーバーが管理する DNS ドメインは、RFC 3007 に従って DNS 動的更新を受け入れることができます。[4].
特定のクライアントが修正可能なレコードを判断するルールは、
/etc/named.conf ファイルの 更新ポリシー 文と同じ構文に従います。動的更新ポリシーの詳細は、BIND 9 のドキュメント を参照してください。
DNS ゾーンで動的 DNS 更新が無効になっていると、動的更新ポリシーステートメントを反映せずに、すべての DNS 更新が拒否されることに注意してください。動的 DNS 更新を有効にする方法は、「ダイナミック DNS 更新の有効化」 を参照してください。
Web UI での DNS 更新ポリシーの更新
- Network Services タブを開き、DNS サブタブを選択し、その後に DNS Zones セクションを選択します。
図33.24 DNS ゾーンの管理
- ゾーンの全リストからゾーン名をクリックして DNS ゾーンページを開きます。
図33.25 DNS ゾーンの編集
- Settings をクリックして DNS ゾーン設定タブに切り替えます。
図33.26 マスターゾーン編集ページの Settings タブ
- BIND 更新ポリシー テキストボックスに、セミコロンで区切ったリストで必要な更新ポリシーを設定します。
図33.27 DNS 更新ポリシーの設定
- DNS ゾーンページの上部にある をクリックして、新しい設定を確定します。
コマンドラインでの DNS 更新ポリシーの更新
コマンドラインから DNS 更新ポリシーを設定するには、
--update-policy オプションを使用して、そのオプションの後にくる文でアクセス制御ルールを追加します。以下に例を示します。
ipa dnszone-mod zone.example.com --update-policy "grant EXAMPLE.COM krb5-self * A; grant EXAMPLE.COM krb5-self * AAAA; grant EXAMPLE.COM krb5-self * SSHFP;"
$ ipa dnszone-mod zone.example.com --update-policy "grant EXAMPLE.COM krb5-self * A; grant EXAMPLE.COM krb5-self * AAAA; grant EXAMPLE.COM krb5-self * SSHFP;"
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}